#author("2025-07-29T04:25:25+00:00","default:iseki","iseki")
#author("2025-07-29T04:27:25+00:00","default:iseki","iseki")
* audit
- デーモン [[auditd]]

** コマンド監視
*** 設定ファイル(ルールファイル)
- /etc/audit/rules.d/audit.rules
<pre>
# すべての旧ルール削除  
-D

# バッファ増加  
-b 8192

# イベント待機時間60秒(バースト対策)
--backlog_wait_time 60000

# 失敗時にsyslogに通知  
-f 1

# 新しいルールの設定
-a always,exit -F arch=b64 -S execve -k exec_log  # for 64bit system call
-a always,exit -F arch=b32 -S execve -k exec_log  # for 32bit system call
</pre>

*** ルールの更新
**** restart の失敗
- Failed to restart auditd.service: Operation refused, unit auditd.service may be requested by dependency only (it is configured to refuse manual start/stop).
-- 手動でのリスタートが禁止されている(セキュリティ上の問題)
-- RefuseManualStop=no, RefuseManualStart=no の時に発生

 augenrules --load

*** ログファイル
- /var/log/audit/audit.log

*** ルール確認
- auditctl -l

*** 確認
**** 特定ユーザの実行コマンド確認
**** 特定ユーザの実行コマンド履歴確認
- ausearch -k exec_log -ua root -i | awk '/^type=EXECVE/ {print}'

**** 特定ユーザの実行コマンド(本日のみ)
- ausearch -k exec_log -ua alice -i -ts today | grep EXECVE
-- -i は日付を分かり易く表示





#br
**
トップ   編集 差分 履歴 添付 複製 名前変更 リロード   新規 ページ一覧 検索 最終更新   ヘルプ   最終更新のRSS